Datenschutzerklärung

AV-Vertrag

AGB


Auftragsverarbeitungsvertrag (AVV)

(im Sinne von Art. 28 DSGVO zwischen dem Kunden als Verantwortlichem und Voico als Auftragsverarbeiter)


1. Anwendungsbereich und Rollenverteilung


1.1. Beziehung der Parteien: Dieser AVV konkretisiert die datenschutzrechtlichen Pflichten der Parteien bei Verarbeitung personenbezogener Daten im Auftrag. Er findet Anwendung auf alle Verarbeitungen, bei denen Voico personenbezogene Daten im Auftrag des Kunden (als Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO) verarbeitet. Das ist insbesondere der Fall für alle Endkundendaten, Gesprächsinhalte, Verkehrs- und Inhaltsdaten, die bei Nutzung der Voico-Dienste durch den Kunden anfallen (siehe Datenschutzerklärung Plattform). Voico handelt insoweit als Auftragsverarbeiter gemäß Art. 4 Nr. 8, Art. 28 DSGVO.

1.2. Geltung der Hauptvereinbarung: Die Bestimmungen dieses AVV gehen im Zweifel den Regelungen des Hauptvertrags (AGB/Nutzungsvertrag) vor, soweit es um Datenschutzverarbeitungen geht. Im Übrigen bleiben die Hauptvertragsregelungen unberührt.

1.3. Weisungsgebundenheit: Voico verarbeitet die personenbezogenen Daten ausschließlich im Rahmen der schriftlich dokumentierten Weisungen des Kunden (im Vertrag, diesem AVV und etwaigen nachträglichen Anweisungen festgelegt). Der Kunde bestätigt hiermit, dass er befugt ist, Voico mit der Verarbeitung zu beauftragen und die erforderlichen Rechtsgrundlagen hierfür vorliegen.


2. Gegenstand und Dauer der Verarbeitung


2.1. Gegenstand: Der Gegenstand der Auftragsverarbeitung ergibt sich aus dem Hauptvertrag. Wesentlich ist die Bereitstellung einer KI-Voicebot-Plattform, inkl. Telefonie-Integration, worüber der Kunde Daten seiner Anrufer/Kunden verarbeiten lässt.

2.2. Dauer: Dieser AVV gilt für die Dauer des Hauptvertrags über die Nutzung der Voico-Dienste. Er endet automatisch mit Beendigung des Nutzungsvertrags, soweit nicht gesetzliche Nachwirkungspflichten bestehen.


3. Art und Zweck der Verarbeitung


3.1. Art der Verarbeitung: Erheben, Speichern, Auslesen, Verwenden, Auswerten (via KI-Analyse), Übermitteln, und Löschen von Daten – jeweils automatisiert in IT-Systemen. Auch die Übermittlung an vom Kunden bestimmte Empfänger (z.B. per Integration) kann dazugehören.

3.2. Zweck: Die Verarbeitung erfolgt ausschließlich, um dem Kunden die Nutzung der Voico-Dienste zu ermöglichen, insbesondere um Telefonanrufe automatisiert entgegenzunehmen und zu bearbeiten, Dialoge mittels KI zu führen, sowie um entsprechende Verbindungsdaten dem Kunden bereitzustellen. Eine Verarbeitung zu anderen Zwecken findet nicht statt. Voico wird Daten nicht für eigene Zwecke des Auftragsverarbeiters verarbeiten, insbesondere keine Profile zu eigenen Zwecken erstellen oder Daten an Dritte verkaufen.


4. Art der personenbezogenen Daten und Kategorien betroffener Personen


4.1. Datenarten: Folgende Kategorien personenbezogener Daten können im Rahmen der Auftragsverarbeitung umfasst sein (je nach Nutzung durch den Kunden):

  • Stammdaten der Endkunden/Anrufer: z.B. Name, Telefonnummer, ggf. Kundennummer, Vertrags- oder Kontoinformationen (sofern im Gespräch genannt oder per Integration abgerufen).

  • Kommunikationsdaten: Inhalt der Telefongespräche (gesprochene Worte) und daraus abgeleitete Text-Transkriptionen; Anliegen und von Anrufern mitgeteilte Informationen (können auch sensible Daten enthalten, wenn Anrufer solche äußern – z.B. Gesundheitsinformationen, Zahlungsdaten – Voico hat hierauf keinen Einfluss).

  • Verkehrsdaten (Metadaten): Rufnummer des Anrufers, angerufene Nummer, Datum, Uhrzeit und Dauer des Gesprächs; technisch ggf. IP-Adressen bei VoIP; Tonaufzeichnungen (optional) oder Chatprotokolle.

  • Eingebundene externe Daten: Daten aus Kundensystemen, die im Rahmen des Gesprächs verarbeitet werden (z.B. im CRM hinterlegte Adresse des Anrufers, sofern abgerufen).

  • Nutzungsdaten: Logfiles zu Gesprächsverlauf (Dialogschritte), Fehlerprotokolle, vom Kunden definierte Gesprächsnotizen.

Voico kennt den konkreten Inhalt der Daten nicht im Voraus; der Kunde entscheidet, welche Datenkategorien in seinen Anwendungsfällen anfallen.

4.2. Betroffene Personen: Typischerweise Anrufer/Kommunikationspartner des Kunden, z.B. Kunden des Kunden, Interessenten, Endverbraucher, oder Mitarbeiter des Kunden (falls intern verwendet). Ggf. auch Dritte, über die im Gespräch gesprochen wird (falls personenbezogene Daten Dritter genannt werden). Wenn der Kunde das System testweise mit Mitarbeiterdaten speist (z.B. interne Testanrufe), können auch Mitarbeiter betroffen sein.

Der Kunde bestätigt, dass die genannten Kategorien abschließend sind und keine Verarbeitung besonderer Datenkategorien (Art. 9 DSGVO, z.B. Gesundheitsdaten) beabsichtigt ist, außer dies ist ausdrücklich vereinbart. Sollte der Kunde dennoch besondere Kategorien verarbeiten lassen, stellt er sicher, dass eine geeignete Einwilligung oder gesetzliche Erlaubnis vorliegt.


5. Pflichten des Auftragsverarbeiters (Voico)


5.1. Weisungen: Voico verarbeitet personenbezogene Daten nur nach dokumentierten Weisungen des Kunden. Der Hauptvertrag und dieser AVV enthalten initiale Weisungen. Darüberhinausgehende Anweisungen (z.B. Löschung, Herausgabe bestimmter Daten) sind vom Kunden in Textform an [email protected] zu richten. Voico wird die Weisungen zügig umsetzen. Erkennt Voico, dass eine Weisung gegen DSGVO oder andere Datenschutzvorschriften verstößt, teilt Voico dies dem Kunden mit und ist berechtigt, die Umsetzung auszusetzen bis zur Bestätigung oder Änderung der Weisung durch den Verantwortlichen.

5.2. Sicherheitsmaßnahmen: Voico verpflichtet sich, alle nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (TOM) zum angemessenen Schutz der Daten zu treffen. Hierzu zählen insbesondere Maßnahmen zur Zugangskontrolle (z.B. Authentifizierung), Zutrittskontrolle (sichere Serverräume), Zugriffskontrolle (Rechtemanagement, Prinzip der minimalen Rechte), Weitergabekontrolle (verschlüsselte Übertragungen), Eingabekontrolle (Protokollierung von Änderungen), Auftragskontrolle (Vertragsgestaltung mit Subunternehmern), Verfügbarkeitskontrolle (Backup, Ausfallsicherheit) und Trennungsgebot (logische Mandantentrennung der Kundendaten). Verschlüsselung: Sprachdaten und sensible Inhalte werden bei Übertragung über öffentliche Netze stets verschlüsselt übertragen (HTTPS/TLS, SRTP/ZRTP o.ä.). Ruhtedaten (z.B. in Datenbanken, Aufzeichnungen) werden auf starken Systemen gespeichert, teils mit zusätzlichen Verschlüsselungslayern. Voico weist ein Informationssicherheits-Management vor (ISO 27001 zertifiziert). Eine detaillierte Übersicht der TOM kann der Kunde auf Anfrage erhalten. Die Maßnahmen können entsprechend technischer Entwicklung angepasst werden, wobei das Sicherheitsniveau nicht unterschritten werden darf.

5.3. Unterstützung des Verantwortlichen: Voico unterstützt den Kunden im Rahmen seiner Möglichkeiten dabei, dessen Pflichten aus Art. 32–36 DSGVO zu erfüllen. Dazu gehören:

  • Gewährleistung der Datensicherheit (siehe oben).

  • Meldung von Verletzungen des Schutzes personenbezogener Daten (Databreach) an den Kunden ohne unangemessene Verzögerung, sobald Voico davon Kenntnis erlangt. Voico wird dem Kunden alle relevanten Informationen zur Verfügung stellen, damit dieser etwaige Meldepflichten nach Art. 33, 34 DSGVO erfüllen kann.

  • Unterstützung bei der Beantwortung von Betroffenenanfragen (z.B. Auskunft, Löschung). Sollte sich ein Betroffener direkt an Voico wenden, leiten wir dies unverzüglich an den Kunden weiter und unternehmen ohne Weisung keine Auskünfte an Betroffene.

  • Unterstützung bei einer erforderlichen Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO und evtl. Konsultationen nach Art. 36 DSGVO, soweit die Verarbeitung bei Voico stattfindet und wir mit den Informationen aushelfen können.

Voico kann für Unterstützungsleistungen, die nicht in der Leistungsbeschreibung des Hauptvertrags enthalten sind (z.B. erheblicher Personalaufwand für DSFA-Unterstützung), eine angemessene Vergütung verlangen.

5.4. Vertraulichkeit: Voico stellt sicher, dass alle Personen (Mitarbeiter wie externe), die Zugang zu den personenbezogenen Daten des Kunden haben, zur Vertraulichkeit verpflichtet wurden und mit den datenschutzrechtlichen Schutzvorschriften vertraut sind (z.B. Schulungen). Das Fernmeldegeheimnis gem. TTDSG wird gewahrt; Verstöße dagegen werden sanktioniert.

5.5. Nachweis und Audit: Voico wird dem Kunden auf Anforderung alle Informationen zur Verfügung stellen, die nötig sind, um die Einhaltung der in diesem AVV niedergelegten Pflichten nachzuweisen (Art. 28 Abs. 3 lit. h DSGVO). Hierzu zählen insbesondere aktuelle Zertifizierungen oder Berichte unabhängiger Stellen (z.B. ISO 27001, SOC2, Penetrationstest-Berichte) und eine Beschreibung der TOM. Der Kunde ist berechtigt, Audit-Rechte auszuüben: Er kann Voico nach vorheriger Abstimmung (mind. 2 Wochen vorher) vor Ort oder mittels Fernprüfungen auditieren oder durch einen unabhängigen Prüfer auditieren lassen. Das Audit soll auf übliche Geschäftszeiten beschränkt werden und darf die Betriebsabläufe nicht unangemessen stören. Voico ist berechtigt, dem Kunden statt einer Vor-Ort-Prüfung nach Möglichkeit einen aktuellen Audit-/Prüfbericht (nicht älter als 12 Monate) zur Verfügung zu stellen, der das Einhalten der TOM bestätigt, sofern das konkrete Auditbegehren des Kunden dadurch ausreichend beantwortet wird. Die Kosten eines Audits trägt der Kunde, außer bei von Voico verursachten schwerwiegenden Mängeln.


6. Pflichten des Verantwortlichen (Kunde)


6.1. Der Kunde bleibt verantwortlich für die Beurteilung der Zulässigkeit der Verarbeitung. Insbesondere holt er erforderliche Einwilligungen ein und informiert die Betroffenen über die Datenverarbeitung (Art. 13 DSGVO). Er hält eine Rechtsgrundlage für alle Auftragsverarbeitungen vor.

6.2. Der Kunde dokumentiert Weisungen, überprüft regelmäßig die Einhaltung der technischen und organisatorischen Maßnahmen bei Voico anhand der bereitgestellten Unterlagen und meldet Voico unverzüglich Unregelmäßigkeiten oder Verstöße, die ihm auffallen.

6.3. Der Kunde ist verpflichtet, Voico umgehend zu informieren, sofern ihm Fehler oder Unregelmäßigkeiten im Zusammenhang mit der Verarbeitung durch Voico auffallen.

6.4. Für den Fall, dass aus der vertragsgegenständlichen Verarbeitung für den Kunden eine Beratungspflicht nach Art. 28 Abs. 3 DSGVO resultiert, wird der Kunde Voico entsprechend konsultieren.


7. Unterauftragsverhältnisse (Weitergabe an Subunternehmer)


7.1. Der Kunde erteilt Voico hiermit die allgemeine Genehmigung, weitere Auftragsverarbeiter (Subunternehmer) einzusetzen, soweit dies zur Leistungserbringung erforderlich ist. Eine Liste der derzeit eingesetzten Subunternehmer ist in der Datenschutzerklärung aufgeführt (Hosting, Telko-Carrier, Cloud-Dienste etc.) bzw. auf Anfrage erhältlich. Hierzu zählen insbesondere: Hetzner Online GmbH (Hosting), diverse Telekommunikations-Carrier für Anrufe (können je nach Destination variieren), Microsoft (Azure EU Cloud für KI-Verarbeitung) etc.

7.2. Voico wird den Kunden vorab informieren, wenn ein Wechsel oder die Hinzunahme eines neuen Subunternehmers geplant ist. Der Kunde kann aus berechtigten datenschutzbezogenen Gründen Einspruch gegen den Wechsel erheben. Erfolgt binnen 10 Tagen nach Mitteilung kein begründeter Einspruch, gilt die Zustimmung als erteilt. Im Falle eines Einspruchs wird Voico versuchen, eine Lösung ohne den betreffenden Subunternehmer anzubieten. Ist dies nicht möglich, steht dem Kunden ein Sonderkündigungsrecht zu.

7.3. Voico stellt sicher, dass mit allen Subunternehmern ein gleichwertiges Datenschutzniveau vereinbart wird. Insbesondere wird Voico mit Subverarbeitern einen Vertrag nach Art. 28 Abs. 4 DSGVO schließen, der diese auf die gleichen Pflichten verpflichtet, wie sie Voico hier treffen. Voico haftet gegenüber dem Kunden für die Datenschutz-Verstöße der Subunternehmer wie für eigene.

7.4. Die Weitergabe an Dritte außerhalb von Auftragsverarbeitung (z.B. gemeinsame Verantwortliche oder eigenverantwortliche Stellen) erfolgt nur mit Zustimmung des Kunden oder wenn gesetzlich erlaubt. Soweit Voico auf Anordnung einer Behörde oder aufgrund einer Gesetzesnorm Daten eines Kunden herausgeben muss (z.B. TKG-Auskunft), wird Voico – sofern zulässig – den Kunden hierüber informieren.


8. Anfragen betroffener Personen


8.1. Wird Voico vom Verantwortlichen beauftragt oder ist ersichtlich, dass der Kunde Unterstützung benötigt, wird Voico angemessen bei der Erfüllung der Betroffenenrechte mitwirken. Dies umfasst das Suchen nach Daten eines bestimmten Betroffenen, Herausgabe in einem gängigen Format oder Löschen/Sperren von Daten auf Anweisung.

8.2. Sollte sich ein Betroffener direkt an Voico wenden, wird Voico dieses Ersuchen unverzüglich an den Kunden weiterleiten. Voico wird den Betroffenen darauf verweisen, sich an den Verantwortlichen zu wenden. Direkte Maßnahmen durch Voico erfolgen nur auf Weisung des Kunden.


9. Datenübermittlung in Drittländer


9.1. Die Verarbeitung findet grundsätzlich innerhalb der EU/des EWR statt. Eine Übermittlung in Drittstaaten erfolgt nur, sofern der Subunternehmer-Einsatz es vorsieht (siehe Liste Subunternehmer). Dies kann z.B. für bestimmte Telefondienstleistungen der Fall sein (z.B. Anrufe in andere Kontinente, bei denen dort ansässige Carrier involviert sind, oder KI-Dienste, falls diese von US-Anbietern stammen).

9.2. Voico stellt in diesen Fällen sicher, dass angemessene Garantien nach Art. 44 ff. DSGVO bestehen. In der Regel werden Standarddatenschutzklauseln (SCC) mit den Empfängern vereinbart. Zusätzlich prüft Voico, ob weitere Maßnahmen (z.B. Verschlüsselung, Data Processing Agreements mit zusätzlichen Verpflichtungen) erforderlich sind, und setzt diese um.

9.3. Der Kunde wird darüber informiert, in welchen Fällen Datenflüsse in Drittländer stattfinden (siehe Datenschutzerklärung). Für Anrufe ins Ausland ist teils unvermeidbar, dass die Telefonie über ausländische Netze läuft – dem stimmt der Kunde zu.


10. Beendigung der Verarbeitung, Rückgabe und Löschung


10.1. Nach Beendigung des Hauptvertrages und auf Wunsch des Kunden während laufenden Vertrages (soweit technisch umsetzbar) wird Voico sämtliche personenbezogenen Daten, die im Auftrag verarbeitet wurden, löschen oder dem Kunden nach dessen Wahl herausgeben. Dies umfasst auch eventuell beim Subunternehmer gespeicherte Daten. Etwaige vorhandene physische Datenträger sind nach Wahl des Kunden zurückzugeben oder zu vernichten.

10.2. Dokumentationen, die dem Nachweis der ordnungsgemäßen Verarbeitung dienen (Logfiles, Einwilligungsnachweise), darf Voico nach Vertragsende entsprechend der gesetzlichen Aufbewahrungsfristen weiter aufbewahren, danach löschen. Solche verbleibenden Daten unterliegen weiterhin der AVV-Verschwiegenheit.

10.3. Voico wird dem Kunden die vollständige Durchführung der Löschung auf Anfrage bestätigen. Sollte in Ausnahmefällen eine Löschung nicht möglich sein (weil z.B. gesetzliche Pflichten zur Aufbewahrung bei Voico bestehen), tritt an deren Stelle die Sperrung der Daten.


11. Haftung und Schadensersatz


11.1. Die Haftungsregelungen des Hauptvertrags (AGB, Haftungsklausel) gelten auch zwischen Verantwortlichem und Auftragsverarbeiter. Voico haftet dem Verantwortlichen gegenüber für schuldhaft verursachte Schäden aus der Verletzung dieses AVV im Rahmen der vertraglich vereinbarten Haftungsbeschränkungen.

11.2. Die verschuldensunabhängige Haftung des Auftragsverarbeiters aus Art. 82 DSGVO gegenüber betroffenen Personen bleibt unberührt. Intern stellt der Kunde (Verantwortlicher) Voico jedoch von Ansprüchen Betroffener frei, soweit Voico nachweist, dass es den Umstand, durch den der Schaden eingetreten ist, nicht zu vertreten hat (Art. 82 Abs. 3 DSGVO).


12. Sonstiges


12.1. Mitteilungen: Bei Datenschutzangelegenheiten gemäß diesem AVV wenden sich beide Parteien an ihre bei Vertragsschluss benannten Ansprechpersonen (z.B. Datenschutzbeauftragte oder verantwortliche Stellen). Änderungen sind einander mitzuteilen.

12.2. Änderungen und Nebenabreden: Änderungen dieses AVV bedürfen der Schriftform. Das gilt auch für den Verzicht auf dieses Formerfordernis.

12.3. Vorrang: Im Falle von Widersprüchen gehen die Bestimmungen dieses AVV den Regelungen des Hauptvertrags vor.

12.4. Anwendbares Recht und Gerichtsstand: Es gilt das auf den Hauptvertrag anwendbare Recht (siehe AGB). Gerichtsstand ist der des Hauptvertrags, soweit datenschutzrechtlich zulässig.

Verändern Sie die Art und Weise, wie Sie neue und bestehende Kunden erreichen mit VOICO AI.

Jetzt loslegen

Jetzt loslegen